A falha Heartbleed, que deixou empresas e internautas em alerta durante toda essa semana, não era assim tão desconhecida. Ou pelo é menos é isso que sugerem duas fontes anônimas, mas ligadas ao assunto, ouvidas pela reportagem da Bloomberg: de acordo com ambas, a agência de segurança norte-americana (NSA) já sabia da brecha há tempos – e teria inclusive se aproveitado dela para coletar dados e espionar.

O problema está sendo considerado um dos maiores enfrentados por desenvolvedores e pela web no geral nos últimos anos. Pela brecha, qualquer invasor poderia fazer uma “pescaria” de dados, solicitando e recebendo informações aleatórias armazenadas por servidores, incluindo aí senhas, números de cartões e chaves de criptografia que protegeriam as comunicações.

[Heartbleed: Veja em quais serviços você deveria trocar sua senha agora]

De acordo com os responsáveis pela biblioteca do OpenSSL, a vulnerabilidade ficou aberta por pelo menos dois anos sem que ninguém, em teoria, tivesse tomado conhecimento dela. Portanto, o fato de a NSA não ter falado nada sobre a brecha por tanto tempo não deixa de surpreender – e pode muito bem reacender o debate ao redor das táticas utilizadas pela agência para conseguir o que quer, como bem mencionou a Bloomberg.

Uma porta-voz do órgão não quis comentar sobre o assunto ao site. No entanto, a própria entidade foi ao Twitter para negar que sabia do problema, e o govenro norte-americano ainda emitiu um comunicado explicando a situação. "A menos que haja alguma necessidade relacionada à segurança nacional, é nossa responsabilidade divulgar tais vulnerabilidades", informa o texto. 

No entanto, a falha na biblioteca de criptografia pode não ter sido nem a primeira a ser explorada pela agência, como apontaram especialistas à página. A busca por brechas em software seria uma das principais missões dos espiões norte-americanos, e os programas de código-aberto eram alvos primários. Recomendações presidenciais para que a NSA começasse a avisar sobre as vulnerabilidades (em vez de se aproveitar delas) comprovam essas manobras.

Atualmente, segundo aponta uma fonte à reportagem, a agência de segurança ainda teria um arsenal com milhares de vulnerabilidades do tipo. Todas poderiam ser usadas de forma parecida com a Heartbleed, quebrando a segurança de computadores e servidores ao redor do mundo. Parece surreal, mas dado o tamanho da equipe da agência, não deve ser tão difícil assim encontrar brechas – em especial em programas mantidos por equipes pequenas, mesmo que suportadas pela comunidade open source, como no caso do OpenSSL Project.